Nutzt Ihre Webseite eine Muster-Datenschutzerklärung, wie wir als Verband der niedergelassenen Ärzte sie viele Jahre lang angeboten haben? Also eine Textvorlage, die Sie an einigen Stellen angepasst haben, die aber ansonsten wortgleich übernommen wurde? Dann sollten Sie jetzt tätig werden.
Denn seit dem 1.12.2021 gilt in Deutschland – neben der EU-Datenschutzgrundverordnung (DSGVO) und vielen weiteren Vorschriften – auch das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG). In § 25 TTDSG geht es um das Setzen von Cookies, ohne die kaum eine Webseite heutzutage mehr auskommt:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Der User muss also einwilligen. Deshalb zeigen die allermeisten Webseiten auch einen Cookie-Banner an. Besucher der Webseite können dann auswählen, welche Cookies gesetzt bzw. genutzt werden dürfen. So passiert das auch auf der Virchowbund-Webseite. So lange keine Zustimmung vorliegt, dürfen keine Cookies (oder nur technisch absolut notwendige) gesetzt werden.
Das TTDSG bringt eine entscheidende Wendung
Ab sofort muss die Einwilligung zur Datenverarbeitung auch dann vor (!) der Verarbeitung von Nutzerdaten der Nutzer eingeholt werden, wenn gar kein Cookie im technischen Sinne gesetzt wird, sondern andere Informationen – etwa Browserdaten des Besuchers – genutzt werden. Als Ausnahme von dieser Pflicht kommen nur solche Datenverarbeitungen in Betracht, die für Sicherheit, Stabilität oder Funktionalität der Webseite wirklich erforderlich sind.
Was fällt alles unter diese Pflicht zur vorherigen Einwilligung? Wann ist die Einwilligung ungültig, da der Nutzer sie informiert treffen können muss? Zu den Unsicherheiten durch die DSGVO kommen nun weitere Unsicherheiten durch das TTDSG. Die Datenschutzkonferenz veröffentlichte zwar Leitlinien. Diese machen es allerdings in der Praxis nicht einfacher. Denn im Urteil „Schremms II“ hat der Europäische Gerichtshof (EuGH) selbst für eine einfache Facebook-Fanpage eine sogenannte „Gemeinsame Verantwortung“ für den Datenschutz der Besucher zwischen der Plattform und dem Administrator der Seite unterstellt.
Das bedeutet: Ein Webseiten-Betreiber (z. B. eine Arztpraxis) müsste genau wissen, was die Programmierer der Webseite technisch eingesetzt haben und welche Daten dafür von den Nutzern erhoben werden. Das ist von außen jedoch kaum feststellbar.
Und genau das kann für den unwissenden Betreiber einer Seite zur Gefahr werden, wenn er blind auf Mustertexte vertraut. Der früher übliche Hinweis, dass „diese Seite Cookies verwendet“ und man „mehr in den Informationen zum Datenschutz“ lesen und zudem einer Verarbeitung seiner Daten widersprechen kann, reicht nicht mehr aus. Das Landgericht München I hat z. B. im Urteil vom 20.01.2022 (Az. 3 O 17493/20) Schadensersatz verhängt, weil eine Webseite Google Fonts verwendet hat, ohne dafür eine Einwilligung der Nutzer einzuholen.
Aber die Maxime „viel hilft viel“ ist ebenso falsch. Datenschutzbehörden haben Anbieter schon abgestraft, weil ihre Datenschutzerklärung Funktionen benannte, die de facto noch gar nicht auf der Webseite eingebunden waren.
Was Sie jetzt tun sollten
Wir empfehlen deshalb dringend, sich von solchen „one size fits all“-Texten möglichst rasch zu verabschieden. Wählen Sie besser eine individuelle Lösung für die Datenschutzerklärung, die an Ihre Praxishomepage und deren Funktionalitäten angepasst sind.
Dafür haben Sie mehrere Möglichkeiten:
Sie wenden sich an diejenigen, die Ihre Webseite gestaltet haben. Diese können Ihnen Informationen zu den programmierten Funktionen geben und darauf basierende Textbausteine liefern. Auch wenn laut Gesetz Sie als der Auftraggeber selbst für die Einhaltung des Datenschutzes und der Gesetzeskonformität sorgen und einen Datenschutzbeauftragten benennen müssen: Wer die Webseite programmiert hat, weiß am besten, was „unter der Haube“ der Anwendung passiert – und das ist es, was nach der neuen Rechtslage entscheidend ist und in den Informationen für die Nutzerinnen und Nutzer zur Einwilligung zutreffend dargestellt werden muss.
Sie nutzen einen Textgenerator für die Datenschutzerklärung. Die Preise sind moderat. Der Vorteil eines solchen Datenschutzgenerators: Durch das Baukasten-Prinzip ist er einfach zu bedienen und spätere rechtliche oder technische Änderungen lassen sich im Text leicht updaten. Es gibt einige seriöse Anbieter am Markt, die auch weiterführende Informationen bieten, zum Beispiel der Datenschutzgenerator von Dr. Thomas Schwenke oder der Kanzlei WBS.
Sie lagern die Verantwortung an einen Consent Management Provider (CMP) aus. Der CMP sollte Ihnen auch die Gestaltung des rechtskonformen Cookie-Banners abnehmen. Hier finden Sie eine Übersicht an Anbietern. Der CMP sollte seinen Sitz in der EU haben. Ein deutscher Anbieter mit Renommee ist Usercentrics.
Wie schon nach der Einführung der DSGVO wird das Thema Datenschutz für niedergelassene Ärzte und Ärztinnen durch das TTSDG leider nicht einfacher, sondern komplexer. Scheinbar aufwandsarme Mustertexte auf der Praxiswebseite sind leider keine gute Lösung. Sie vermitteln nur eine trügerische – und bei Schadensersatzforderungen ggfs. auch teure – Sicherheit.
Das ist der Grund, weshalb auch der Virchowbund keine Musterdatenschutzerklärung mehr anbietet. Nutzen Sie besser eine der drei genannten Alternativen, um rechtlich auf der sicheren Seite zu bleiben. Natürlich führen wir unser anderes Angebot rund um Datenschutz im Praxismanagement fort:
Vorlage: Patienteninformation zum Datenschutz
Vorlage: Patienteninformation – Einwilligungserklärung zur Datenweitergabe
Der Beitrag ist im Original erschienen auf Coliquio.de.
Credits:
Photographer: © Matthiase
Lead Image: Dreamstime
Medscape Nachrichten © 2022 WebMD, LLC
Diesen Artikel so zitieren: Praxistipp: Datenschutzerklärungen für die Website jetzt aktualisieren – worauf zu achten ist - Medscape - 17. Aug 2022.
Kommentar